El troyano URLZone desarrolla técnicas “anti-mulas”

En el mundo del malware, las mulas son las personas que se dedican a realizar el trabajo sucio: mover el dinero desde la cuenta bancaria víctima hacia la suya, y de ahí a través de traspaso de dinero en efectivo, el dinero viaja a los verdaderos atacantes (cerebros de la
operación) mientras ellos se quedan con un pequeño porcentaje y corren todo el riesgo. URLZone ha desarrollado un método para evitar que los investigadores atrapen a estas mulas, y pasar así todavía más
desapercibidos: Usan cuentas de mulas reales durante su comportamiento “habitual”, pero, si notan que están siendo monitorizados, engañan automáticamente a los investigadores realizando transacciones legítimas a cuentas de conocidos de las víctimas que, lógicamente, en realidad no son mulas.

El llamado URLZone está siendo muy especial, por lo innovador de algunas técnicas con las que se protege. Hace algunos días nos llamaba la atención que el troyano fuese capaz de recordar el balance anterior de su víctima, y falsearlo en la cuenta una vez ha sido robado. Así, el usuario no percibe que está siendo víctima de fraude. No puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador troyanizado, o le sea devuelto algún recibo.

URLZone es una evolución de la familia de los Silentbankers que, como característica principal, realiza las transacciones de forma automática.
Habitualmente las contraseñas robadas va a parar a manos de los atacantes y las transacciones ilegítimas son realizadas “a mano” desde otro ordenador. Con URLZone, las transacciones a muleros se hacen de forma automática desde el ordenador de la víctima sin que este lo sepa, lo que complica por ejemplo el demostrar jurídicamente que no ha sido la víctima la que ha realizado la transacción.

Como la mayoría de las empresas que estudiamos malware, RSA FraudAction Research Lab ejecuta en un entorno lo más real posible un troyano, y estudia su comportamiento. Observaron que en su laboratorio, como es habitual, el troyano realiza transacciones de forma automática. Pero, y aquí está lo relevante, comprobaron que las cuentas a las que se hacían transferencias eran cuentas de personas reales, conocidas o no, pero siempre a las que el usuario víctima ya habían realizado transacciones previamente. Esto quiere decir que, cuando el troyano se sabe “monitorizado”, no usa las cuentas de muleros sino que almacena en una base de datos (probablemente junto con el balance anterior de la
víctima) cuentas habitualmente utilizadas por el usuario para realizar transferencias “falsas” cuando le vigilan.

Cuando URLZone detecta que no está en su botnet “legítima”, o sea, la red de sistemas infectados que reciben órdenes de uno o varios sistemas centrales, modifica su comportamiento para eludir a los investigadores.
Si es instalado en un laboratorio, y la red central no “conoce” a ese sistema, simulará un comportamiento extraño, en el que toda persona que haya recibido dinero de la cuenta de la víctima, parecerá que es el mulero de turno. De paso, ocultan así las cuentas de los muleros reales, y perseguir el dinero se convierte en una tarea todavía más compleja.

Todo esto se controla desde el servidor central. Tiene un protocolo especial de comunicación con las víctimas y si, por cualquier razón, sospecha que uno de los sistemas infectados no es una víctima real, sino que ha sido infectado en un sistema de laboratorio, en vez de desconectar o no hacer nada (así actúan la mayoría de troyanos hoy día), busca en su base de datos de conocimiento de la víctima y simula transacciones que no harán más que confundir a los investigadores, bancos, víctimas y sobre todo, a las personas que recibirán dinero sin haberlo pedido y serán acusados de mulas ocasionales.

Sin duda, una inteligente vuelta de tuerca más en el mundo del fraude online.

Fuente:Noticias Hispasec

Read More

Michael Jackson, el rey del malware

michjack.jpg

Tras la reciente muerte de Michael Jakson, todo un icono de la música a nivel mundial, los delincuentes informáticos han comenzado a invadir Internet con páginas web y correos electrónico con contenido malicioso; aprovechándose de los usuarios que buscan información sobre la muerte del polémico cantante.

La empresa de seguridad Sophos, ha estado informando en los últimos días sobre la distribución de correos electrónicos en los que supuestamente se incluye información sobre la muerte de Michael Jackson, pero con la característica de que estos mensajes adjuntan enlaces o archivos con software malicioso.

Otra firma de seguridad, McAfee, comenta en su blog que en Twitter y Facebook se han encontrado diferentes URLs -relacionadas al tema Micahel Jackson- que redireccionan los usuarios a la descarga de malware y antivirus falsos.

Guilherme Vener, de McAfee Avert Labs blog, alerta que los ciberdelincuentes intentarán distribuir software malicioso por diferentes medios como lo son el correo electrónico, enlaces web, y resultados en motores de búsqueda. Así que, mucha precaución a la hora de buscar información sobre el “rey del pop”

Fuente:Open Security

Read More

Malware en cajeros automáticos

SpiderLabs ha publicado un estudio en el que analizan un ejemplar de malware que afecta a cajeros automáticos. Se le ha seguido por Europa del Este durante 18 meses. Ya en marzo, a través del blog de Hispasec, se anunció la noticia de un ejemplar que afectaba a los cajeros de la marca Diebold en Rusia. En ese caso las muestras fueron analizadas por SophosLabs y suministradas a través de VirusTotal donde llegaron el 11 de noviembre de 2008.

Con un total de 16 actualizaciones hasta ahora y una calidad de código etiquetada de “profesional” en su factura, el ejemplar estudiado por SpiderLab es instalado, al parecer, por personal desde dentro de la entidad bancaria, y permanece en la máquina afectada monitorizando la cola de mensajes de las transacciones esperando a que un usuario inserte su tarjeta y pin para ser copiados.

¿Dónde envía los datos robados?

No los envía. El troyano no hace uso de la red, no tiene capacidad alguna para efectuar comunicaciones, posiblemente para no levantar sospechas en los sistemas de monitorización de tráfico del banco.

En su lugar, lo que hace es esperar a que una tarjeta de control sea insertada, en ese momento el troyano presentará en pantalla un menú con diversas opciones, entre las cuales se encuentran la de imprimir por la impresora del cajero los datos robados, resetear los logs a cero (para no amontonar los datos ya extraídos), desinstalar el troyano, resetear el cajero y la más lucrativa aunque también notoria: sacar todo el dinero en efectivo que tenga el cajero en ese momento.

Aunque no todas las opciones están disponibles para todos los usuarios.

Hay dos tipos de niveles, para los administradores y otra con funciones recortadas, supuestamente para colaboradores, léase “muleros”.

De momento todos los casos han necesitado de un colaborador para infectar manualmente la máquina, dificultad que impide la proliferación de casos de este tipo de malware.

Fuente:

Read More

Ataque web masivo afecta a más de 20,000 sitios… y va en aumento

http

La empresa de seguridad Websense advierte sobre un ataque masivo en el que delincuentes informáticos han inyectado código javascript malicioso en más de 20,000 sitios web, lo que afecta a todos los visitantes de estos espacios.

Los atacantes, demostrando una vez más su ingenio, han diseñado el código de forma que se asimile al que ofrece Google Analytics, con lo que se logra que pase desapercibido para usuarios y administradores de las sitios comprometidos.

Lo que hace el mencionado código es redireccionar a los visitantes del sitio web original a otro malicioso en el que se intentan explotar una serie vulnerabilidades conocidas, todas con el objetivo de instalar malware. Si resulta que el equipo no es vulnerable a ninguno de los exploits, al final se muestra una ventana de alerta que intenta engañar al usuario para que descargue un antivirus falso.

Es probable que el ataque se siga extendiendo por muchos sitios web más, así que les recomendamos mantenerse alertas a la hora de navegar, pero sobretodo, recordar tener bien actualizado su navegador web y sistema operativo

Fuente:OpenSecurity

Read More

Malware oculto en una copia pirata de Apple iWork 09 para Mac OS X

En Intego han encontrado una copia pirata y troyanizada de iWork 09 circulando por las redes de pares. Lo relevante en este caso es que el software es para el sistema operativo Mac OS X. Los atacantes parecen seguir teniendo cierto interés en este sistema operativo.

Los investigadores han encontrado una copia completa y funcional de iWork 09 para Mac OS X en redes de torrent, pero con un añadido:

OSX.Trojan.iServices.A. El troyano se oculta en el paquete iWorkServices.pkg. Se instala en la carpeta de inicio para asegurar su ejecución continuada en el sistema infectado. Según la compañía que lo ha descubierto, (que se dedica a vender software para proteger sistemas

Macintosh) 20.000 usuarios ya lo han descargado gratuitamente desde estas redes. El iWork 09 cuesta unos 80 dólares.

El troyano no es muy sofisticado. Notifica a un servidor (perteneciente al atacante) de que un sistema ha sido infectado, lo introduce en su red controlada de bots y, entre otras cosas, está diseñado para provocar denegaciones de servicio distribuidas a servidores web a través de una avalancha de peticiones. Al parecer está programado en un principio para atacar al servidor dollarcardmarketing.com al que ya ha causado serios problemas de disponibilidad.

El malware para Mac va en aumento. En los últimos años en especial, los de la familia DNSChanger que modifican los servidores DNS para que la víctima se dirija a páginas arbitrarias. Lo interesante de este suceso es que el atacante ha buscado una forma relativamente poco usada de difundir el troyano. El iWork pirata está completo, no es un “fake”.

Durante la instalación (sea original o no) el programa pedirá credenciales de root para poder ejecutarse y ahí es donde el atacante salva un importante escollo: el usuario entenderá que para ahorrarse el pago del software original e instalar el pirata, necesita temporalmente privilegios de administrador.

Aunque las vulnerabilidades para Mac OS X son muchas y muy graves, los atacantes todavía no las están aprovechando en masa para difundir malware en este sistema operativo. Esta técnica la dejan para usuarios de Windows, principalmente. Esto es así porque normalmente, el usuario de Windows trabaja como administrador por defecto (excepto en Vista), y la explotación de vulnerabilidades no requerirá elevación de privilegios. Así, de forma transparente el atacante podrá ejecutar e infectar a sus anchas de una sola vez.

Por el contrario, para las víctimas de Apple se valen normalmente de la ingeniería social para intentar tomar control del sistema. Quizás por el hecho de que habitualmente en Mac se trabaja con usuarios limitados. Si el atacante desea infectar realizando cambios significativos en el sistema, necesita conocer de alguna forma la clave de root o que el usuario se la proporcione, y ahí es donde entran “las malas artes” para hacer creer a la víctima que el malware camuflado las necesita. Si aprovechase vulnerabilidades de programas que se ejecutan bajo cuentas limitadas, la infección significativa del sistema no sería del todo transparente.

En cualquier caso, esta técnica de infección es usada desde hace años contra usuarios Windows con muchísimo éxito, pero la (ir)responsabilidad es exclusiva del usuario, esto no es problema del sistema operativo. Las redes de pares están llenas de programas y archivos troyanizados o de troyanos directamente. Descargar y ejecutar software de dudosa procedencia sin tomar las medidas de seguridad adecuadas, es jugar a la ruleta rusa con el sistema operativo, independientemente del que se utilice y de lo seguro (o no) que se crea que es.

Fuente:Noticias Hispasec

Read More

Conficker o Downadup, cabeza de turco

Conficker, también conocido como Downadup, ha saltado a los medios generalistas activando alarmas. La combinación de ciertas técnicas le ha permitido conseguir un buen número de infecciones. Pero no más que los cientos de miles de ejemplares de malware 2.0 que infectan hoy en día a la mayoría de los sistemas Windows. Conficker ha jugado bien sus cartas, pero no es una epidemia mayor que cualquier otra familia de malware existente. Quizás ese parecido con los troyanos antiguos, esa identificación con la imagen de virus de toda la vida que todavía muchos usuarios conservan como si fuese el panorama actual, ha permitido a este gusano aparecer como estrella mediática fácilmente señalable. Conficker es una cabeza de turco que no aporta realmente novedades al mundo del malware, ni por técnica ni por volumen, pero que por ciertos intereses, se ha convertido en una “estrella mediática”.

Conficker ha jugado bien sus cartas en su segunda versión, explotando varias vías de infección:

* Adivina contraseñas de las redes compartidas. Esto le ha permitido eludir cortafuegos en redes internas. Además revela la debilidad de muchas contraseñas usadas por los administradores.

* Se copia y ejecuta a través de memorias USB y dispositivos extraíbles.

Para los administradores de redes supone un verdadero problema evitar de forma eficaz la proliferación de memorias USB que viajan de un sistema a otro. Para colmo, una mala política de seguridad que permite la ejecución automática de cualquier archivo almacenado en la memoria, y probablemente unos permisos inadecuados en el sistema, hacen el resto.

* Aprovecha vulnerabilidades. Conficker comenzó aprovechando una vulnerabilidad muy peligrosa que permitía ejecución de código sin intervención del usuario. Sin embargo la proliferación de cortafuegos ha evitado que Conficker llegue a ser ni de lejos como Blaster, por lo que su adaptación ha sido clave.

* Ingeniería social: El gusano aprovecha la autoejecución pero de una forma muy astuta. Disfrazándose como una de las opciones que aparecen en el menú de Windows cuando se inserta un dispositivo extraíble. Un usuario despistado creerá que está intentando explorar el dispositivo cuando en realidad ha ejecutado el ejemplar.

* Malware 2.0: Aunque sus técnicas de infección en general no sean las más usadas últimamente, sí se sirve de características claras del malware 2.0, como la descarga de componentes (tanto archivos de configuración como otros ejecutables) desde servidores web, convirtiéndose así en toda una infraestructura y no en un gusano autocontenido tradicional.

Uno de los principales enemigos de este gusano es que es fácilmente identificable por las casas antivirus. Los niveles de detección son aceptables incluso por firmas. Además, la “herramienta de eliminación de solftware malintencionado” de Microsoft incluye ya una firma para eliminar sistemas infectados. Nada que ver con el malware que es reconocido por una pequeña cantidad de motores durante meses, y que componen el grueso del verdadero panorama vírico actual.

Cada vez es más complicado identificar un troyano como tal. Se puede hablar de familias pero con Conficker se ha vuelto en cierto modo a revivir viejas costumbres de los troyanos que se creían obsoletas. Su relativo éxito ha animado a medios y casas antivirus a lanzar una alerta “palpable”, de las que hacía años que no se emitían, como cuando se alertaba sobre virus concretos de propagación masiva. Pero la difusión de Conficker está lejos de sobrepasar a esas “antiguas” epidemias.

Incluso está lejos de alcanzar otras epidemias actuales más peligrosas pero mucho menos indentificables, por su complejidad. Conficker sirve así como cabeza de turco, un troyano reconocible y concreto al que señalar ante la inmensa, indomable e inadvertida avalancha de malware actual. Un “mal ejemplo” con el que poder mantener viva la sensación de alerta. Aunque en ningún modo haya que despreciar su potencial daño, lo bueno es que como mínimo la repercusión servirá para concienciar sobre los peligros del malware en general.

Fuente:Noticias Hispasec

Read More

Club de importante diario propaga malware (análisis y solución)

Lo sucedido y la forma en que los usuarios podían infectarse es la siguiente.

1. El usuario ingresa al sitio de Club La Nación y al intentar realizar una “acción exclusiva” que requiere usuario y contraseña, se redirigía al usuario a un nuevo servidor (nw[ELIMINADO].net, ajeno a La Nación) que era el informado por Google como dañino.

lanacion1-1

Es importante destacar que otros navegadores no informan del problema y que actualmente esta redirección ya no existe en la página del Club La Nación.

2. Si se verifica el informe de Google, puede verse que efectivamente el mismo contenía scripts dañinos (esto se comprueba a continuación):

lanacion12

3. Posteriormente, si utilizaba otro navegador o se ignoraba el mensaje de Firefox, se ingresaba al servidor nw[ELIMINADO].net desde donde se descargaba un malware al equipo del usuario a través de los siguientes código JavaScript ofuscados. El primero de ellos es el siguiente:

lanacion3

Al desofuscar este script, se generaba otro con el siguiente código:

lanacion5

Y este, a su vez, generaba el siguiente:

lanacion4-4

Que a su vez se traduce en una apertura de una página web en Letonia dentro de un iframe invisible.

lanacion6

Este sitio web es un conocido hosting internacional de malware en donde se alojan miles de variantes de distintos troyanos y gusanos que son propagados por este medio (técnica conocida como drive-by-download):

lanacion15

Esta página web verifica desde donde proviene el usuario y si lo hace desde las páginas afectadas, descarga un troyano desde la IP 94.[ELIMINADO].2.157. Esta verificación se realiza para evitar a usuarios o investigadores que ingresen directamente al sitio a verificar el código.

4. En este proceso de drive-by-download, el usuario no nota nada extraño y luego de la infección puede pensar que la misma provenía de la página inicial (La Nación), cuando en realidad dentro de los Javascript involucrados se lo redirige a distintos servidores sin su consentimiento ni conocimiento.

En este momento el problema ha sido solucionado por La Nación y por el proveedor de hosting y los usuarios ya no tiene porqué preocuparse.

Actualmente este tipo de acciones son muy populares ya que ha través del ingreso y la manipulación de un servidor ajeno, los delincuentes puede infectar a miles de usuarios casi sin esfuerzo. Por ejemplo en este caso, la visita a un conocido sitio muy conocido podía terminar con la infección del sistema del usuario.

Fuente:SeguInfo

Read More

Videos falsos de YouTube como un medio para distribuir malware

youtube-thumb

La empresa Panda Security, ha publicado un comunicado en el que informa que el sistema para enviar mensajes de YouTube, está siendo utilizado para distribuir malware. Y es que aprovechando la popularidad de esta comunidad, los delincuentes siguen probando nuevos métodos para engañar usuarios.

De acuerdo con el informe, los mensajes incluyen un enlace a lo que se supone que es un vídeo de YouTube. Sin embargo, el dichoso enlace sólo redirige a la descarga de un script malicioso que ha sido denominado como “Autodelete.G”.

Panda Security prevé que las redes sociales continúen siendo atacadas para utilizarse como medio en la distribución de amenazas de seguridad.  Así que si antes sólo nos preocupábamos del correo electrónico, ahora habrá que estar al pendiente de los mensajes en comunidades, blogs y demás servicios web.

Como siempre, lo recomendable es no hacer clic en ningún enlace que se incluya en un mensaje desconocido. Nunca sabemos lo que nos podremos encontrar.

Fuente:Open Security

Read More

Cloud Antivirus, comprueba ficheros potencialmente maliciosos

cloud-antivirus

La nube, la nube, un concepto difícil de definir que pretende que podamos trabajar desde cualquier lado, al llevar la capacidad de proceso a la red y dejar nuestros ordenadores como simples terminales. El último ejemplo de ello es Cloud Antivirus, un nombre algo engañoso para una aplicación que nos permitirá escanear ficheros potencialmente maliciosos de nuestro ordenador.

Cloud Antivirus se integra en el menú contextual de Windows y permite comprobar si un fichero es malicioso o no mediante el servicio Malware Hash Registry. Por eso decía que el nombre es un poco engañoso, puesto que más que para virus está pensado para malware, y viendo como funciona este servicio lo entenderemos.

Read More

[Tutorial] Eliminar XP Antispyware 2009

XP Antispyware 2009 (XPAntispyware2009) podría instalarse en su PC de alguna forma ilegal, por ejemplo, si visitó un sitio web infectado.

También se puede descargar este programa dañino manualmente desde el sitio web de un vendedor al que los usuarios son dirigidos desde sitios web explícitos.

Si no elimina XP Antispyware 2009, puede olvidarse de navegar en la web con placer y beneficios, ya que su buscador se bloqueará permanentemente con un mensaje atemorizante que lo incitará a instalar la versión con licencia del programa malicioso.

La versión de prueba de XP Antispyware 2009 comprende una aplicación especial que debe ser eliminada por separado como un archivo completamente independiente.

Este programa precisamente tiene el objetivo de tomar el control de su buscador en la web, para que usted nunca más pueda navegar tranquilo y placenteramente, sino que a cada rato puede ser dirigido a algún sitio web maligno o pueden aparecer ventanas fastidiosas que lo molesten y le impidan el acceso al sitio web deseado.

El programa XP Antispyware 2009 además daña sus casillas de correo online que se encuentran archivadas en servidores remotos, o sea que es posible que no pueda ingresar a ellas ya que el secuestrador de buscadores que viene con XP Antispyware 2009 ha realizado una acción prohibida.

Motivos mas que suficientes para deshacerse de XP Antispyware 2009.

Los archivos asociados con la infección de XP Antispyware 2009:
AVEngn.dll
htmlayout.dll
comp.dat
pthreadVC2.dll
XP_Antispyware.cfg
Uninstall.exe
XP_AntiSpyware.exe
Install[1].exe

c:\Documents and Settings\All Users\Application Data\boveketuz.inf
c:\Documents and Settings\All Users\Application Data\duvuja.lib
c:\Documents and Settings\All Users\Application Data\koqisybi.bat
c:\Documents and Settings\All Users\Application Data\ucozoma.reg
c:\Documents and Settings\All Users\Documents\jyxigifo._sy
c:\Documents and Settings\All Users\Documents\ysix._dl
%UserProfile%\Application Data\mepa.com
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\XP_AntiSpyware.lnk
%UserProfile%\Cookies\guwysa.dat
%UserProfile%\Cookies\sasu.bat
%UserProfile%\Desktop\XP_AntiSpyware.lnk
%UserProfile%\Local Settings\Application Data\jyxot.dl
%UserProfile%\Local Settings\Application Data\mivekely._sy
%UserProfile%\Local Settings\Application Data\pozik.vbs
%UserProfile%\Local Settings\Application Data\wosi.vbs
%UserProfile%\Start Menu\Programs\XP_AntiSpyware
%UserProfile%\Start Menu\Programs\XP_AntiSpyware\Uninstall.lnk
%UserProfile%\Start Menu\Programs\XP_AntiSpyware\XP_AntiSpyware.lnk
c:\Program Files\Common Files\gykyr.bat
c:\Program Files\Common Files\ogumy.lib
c:\Program Files\Common Files\uwolykiw.com
c:\Program Files\XP_AntiSpyware
c:\Program Files\XP_AntiSpyware\AVEngn.dll
c:\Program Files\XP_AntiSpyware\comp.dat
c:\Program Files\XP_AntiSpyware\htmlayout.dll
c:\Program Files\XP_AntiSpyware\pthreadVC2.dll
c:\Program Files\XP_AntiSpyware\Uninstall.exe
c:\Program Files\XP_AntiSpyware\wscui.cpl
c:\Program Files\XP_AntiSpyware\XP_Antispyware.cfg
c:\Program Files\XP_AntiSpyware\XP_AntiSpyware.exe
c:\Program Files\XP_AntiSpyware\data
c:\Program Files\XP_AntiSpyware\data\daily.cvd
c:\Program Files\XP_AntiSpyware\Microsoft.VC80.CRT
c:\Program Files\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft. VC80.CRT.manifest
c:\Program Files\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dl l
c:\Program Files\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dl l
c:\Program Files\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dl l
c:\WINDOWS\akikuvopa.dll
c:\WINDOWS\lydumyhery.scr
c:\WINDOWS\radimup.lib
c:\WINDOWS\toli.pif
c:\WINDOWS\system32\_scui.cpl
c:\WINDOWS\system32\oxatymy.dl

Las bibliotecas de Vínculos Dinámicos para eliminar XP Antispyware 2009:
AVEngn.dll
htmlayout.dll
pthreadVC2.dll

Procesos activos a matar para eliminar XP Antispyware 2009:
Uninstall.exe
XP_AntiSpyware.exe
Install[1].exe

Entradas a eliminar del registro para quitar XP Antispyware 2009:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\XP_AntiSpyware
HKEY_LOCAL_MACHINE\SOFTWARE\XP_Antispyware
HKEY_CURRENT_USER\Control Panel\don’t load “scui.cpl”
HKEY_CURRENT_USER\Control Panel\don’t load “wscui.cpl”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run “XP Antispyware 2009?

Descarga Malwarebytes’ Anti-Malware

Fuente:Jbex

Read More